WordPress のセキュリティ統計: WordPress は実際どのくらい安全ですか?

WordPress は本当に安全ですか? おそらく、多くの新規ユーザーは、特にこれがオープンソース プロジェクトであると聞いたときに、この疑問を抱くでしょう。 では、WordPress のセキュリティに関する答えを提供できる統計はあるのでしょうか?

実際のところ、この記事では、このトピックに関する意味のある数字をできるだけ多くまとめようとしました。 以下では、WordPress コア、テーマとプラグイン、ログイン情報、ホスティング環境のセキュリティに関する業界のレポートと統計を調べます。

最終的に、WordPress の安全状況についてよく理解していただくだけでなく、リスクがどこにあるのかを正確に把握して、それに対処できるようにしていただきたいと考えています。

統計的に、WordPress はハッカーにとって最も人気のあるターゲットです

WordPress のセキュリティについて話すときに重要な最初のデータポイントは 43% です。 W3Techs によると、これは WordPress で実行されている Web サイトの世界シェアです。 これはコンテンツ管理システムにおける市場シェア (どちらが高いか) ではなく、インターネット上の Web サイト全体における市場シェアであることに注意してください。

これはかなり大きな数字です。 そして、これが重要なのは、WordPress ファンとしてこれは誇りに思うことですが、同時に暴露されるというマイナス面も伴うからです。

WordPress 上で実行されている Web サイトの数が膨大であるということは、このプラットフォームがハッカーの主な標的であることを意味します。 実際、Sucuri の 2022 年の脅威調査レポートでは、WordPress サイトが感染した Web サイト全体の 96.2% を占めていました。

本当に安全とは思えませんね?

このような統計を単独で見ると、WordPress には実際にセキュリティ上の問題があるのではないかと最初に考えるかもしれません。 成功したハッキン​​グの大多数をそれが占める理由が他にあるでしょうか?

だからこそ、最初の数字から始めました。 WordPress は単に、はるかに目立つ、収益性の高いターゲットです。 ユーザー ベースがはるかに小さい Web サイトよりも、文字通り何億もの Web サイトを攻撃できるシステムを選択する方が、はるかに経済的で効率的です。 ハッカーもそれを考えているようだ。

悪いニュースは、彼らはしばしば成功するということです。 毎年、何十万もの WordPress Web サイトがハッキングに成功しています。 良いニュースは、以下でわかるように、WordPress が本質的に安全でないからではないということです。 実際、これらの成功したハッキン​​グの多くは完全に回避可能です。 自分を守る方法を知っておく必要があるだけです。

WordPress のコア脆弱性統計

WordPress が安全かどうかに答えるために、WordPress コア ソフトウェアのセキュリティに関する統計から始めましょう。

ハッキングされたWebサイトのほとんどは更新されていない

Sucuri のレポートによると、ハッキングされた WordPress Web サイトのほとんどは古いものです。 2022 年には、マルウェアに感染した人の半数以上が最新バージョンの WordPress を実行していませんでした。

それは驚くべきことではありません。CMS の古いバージョンの一部には、一般に公開されている既知のセキュリティ問題があります。 したがって、これらのいずれかで Web サイトを運営し続けると、それを利用するよう誰かを招待していることになります。

実際、セキュリティ上の問題が最も多い WordPress のエディションはすべてバージョン 4.0 までです。 それ以来、脆弱性の数は着実に減少しています。

Sucuriのレポートにもそれが反映されている。 以前の数字と比較すると、更新されていないためにハッキングされた WordPress サイトの割合は減少しています。

実際、WordPress は、遭遇したすべての CMS の中で、古いバージョンによる感染の割合が最も低かったのです。

これは 2 年連続で当てはまり、その間 WordPress のシェアはわずかに低下しました。 比較のために2021年を示します。

これはユーザーの問題であり、WordPress の問題ではありません

では、WordPress ユーザーはウェブサイトを更新し続ける状況はどうなっているのでしょうか? まあ、多くの人はそうではありません。 以下は、WordPress.org によって追跡されている、実際の Web サイトで実行されている WordPress のバージョンです。

ご覧のとおり、最新バージョンを使用しているのは約 60%% だけです。 しかし、良いニュースは、少なくとも大部分が WordPress 4.0 以降を使用しており、脆弱性の状況ははるかに改善されているということです。 さらに、4 分の 3 が最新のメジャー バージョンに更新されており、以前よりも改善されています。 2016 年には、そのシェアは約 50% にすぎませんでした。

その理由の 1 つは、バージョン 5.6 で導入された自動更新である可能性があります。 ユーザーに手動で「更新」ボタンをクリックさせる必要はもうありません。 代わりに、Web サイトは新しい WordPress バージョンを自動的にインストールできるため、これがこの前向きな傾向に明らかに貢献しています。

WordPress セキュリティ インフラストラクチャが機能する

ユーザーがウェブサイトを更新することに消極的であるにもかかわらず、WordPress コアの安全システムは非常にうまく機能します。 WordPress セキュリティ チームは、新しい WordPress リリースごとに問題を迅速に見つけてパッチを適用します。

2023 年には、20 ～ 30 の潜在的な脆弱性にパッチを適用した 3 つのセキュリティ リリースがすでにリリースされています。 WordPress 6.0.3 だけでも 16 件のセキュリティ修正が含まれていました。 2022 年にはプロジェクトで 4 つのセキュリティ リリースも行われ、合計 26 件のセキュリティ バグに対処しました。

さらに、この警戒はエコシステムの他の部分にも広がります。 Elementor は重大な脆弱性に遭遇し、すぐにパッチが適用されました。Ninja Forms は WordPress.org から強制アップデートを受け、BackupBuddy も同様に重大度の高いセキュリティ上の欠陥にパッチを適用し、更新バージョンをユーザーにプッシュしました。

したがって、WordPress には他のソフトウェアと同様にセキュリティ上の問題がありますが、それらに迅速に対応するフェイルセーフが用意されています。 残された最大のハードルの 1 つは、ユーザーにソリューションを適用してもらうことです。

WordPress テーマとプラグインのセキュリティに関する統計

最も人気のある CMS である WordPress には膨大な数の拡張機能が付属しており、その多くは無料です。 この記事の執筆時点では、WordPress ディレクトリだけでも約 60,000 のプラグインがあり、11,000 以上のテーマがあります。

これには、Web の他の部分で (多くの場合プレミアム ソリューションとして) 利用できる他の何千ものプラグインも含まれていません。 それが WordPress の素晴らしいところです。あなたが探しているものが何であれ、その解決策がすでに存在している可能性が高いのです。

同時に、サイトにインストールする各拡張機能は、攻撃者の潜在的な侵入ポイントになります。 テーマとプラグインは個々の開発者の責任となります。 これらは WordPress コアほど厳密にテストされていないため、セキュリティ上の欠陥が含まれる可能性が高くなります。 さらに、開発者が自分たちの作品のサポートを単に停止し、それが時代遅れになる場合もあります。

したがって、WordPress のセキュリティ統計、特にプラグインにおいて大きな役割を果たしているのは驚くべきことではありません。 実際、WPScan.com によると、これらには WordPress の脆弱性の大部分が含まれています。

パッチスタックも同様の数に達しました。

どうやら特に無料のプラグインが問題のようです。 Sucuri の報告によると、プレミアム テーマとプラグインはサードパーティの脆弱性全体の 8.62% を占め、無料の拡張機能は 91.38% を占めています。

ここでもよくある問題は、Web サイトの所有者が既知のセキュリティ問題を抱えた古いバージョンを使用していることです。 Sucuri はさらに、侵害されたすべての Web サイトの 36% に、修正されている間に少なくとも 1 つの脆弱なプラグインまたはテーマが存在していたと報告しています。

ハッキングの大部分を占める人気の拡張機能

どのプラグインやテーマが問題を引き起こすかという分布も興味深いです。 Sucuri によると、最も一般的に検出された脆弱なコンポーネントには、古いバージョンの Contact Form 7 (27.44%)、Freemius Library (20.85%)、および WooCommerce (14.51%) が含まれていました。 他にもいくつかあります。

では、これらのプラグインがセキュリティ面でこれほどひどい仕事をしているのに、なぜ依然としてその存在を許可するのでしょうか? ここでは、WordPress 全般と同じことが当てはまります。 これらのプラグインは必ずしも安全性が高いわけではなく、単に非常に人気があるだけです。 Contact Form 7 だけでも 500 万回以上インストールされています。

さらに、これらの開発者は実際に、セキュリティ問題が判明した後、それを修正するという点で優れた仕事をしています。 この問題は、ユーザーがそれらを適用しない場合にのみ発生します。 さらに、プラグインの欠点に対処するための取り組みも進行中です。 最近、開発中のテーマ チェック プラグインに似たプラグイン チェッカーの提案がありました。

では、そこから何を学べるのでしょうか? WordPress サイトの他の部分と同様に、テーマとプラグインを常に最新の状態に保ちます。

ログインの脆弱性

ログイン資格情報は、Web サイトがハッキングに成功するもう 1 つの要因です。 脆弱なユーザー名とパスワードは、重大なセキュリティ リスクを引き起こします。 ブルート フォース攻撃やクレデンシャル スタッフィングによって簡単に侵害されてしまいます。

このようなことが起こった場合、サイトがどれだけ最新であるか、プラグインやテーマのセキュリティはあまり重要ではありません。 誰かがあなたのサイトに完全にアクセスできるようになると、その人ができることにはほとんど制限がありません。

その好例として、Sucuri は感染した Web サイトの 32.69% で悪意のある WordPress 管理者ユーザーを発見しました。 参考までに、彼らが最もよく使用したユーザー名とメールアドレスを以下に示します。

一方、これはユーザーが最も直接制御できる部分の 1 つです。 たとえば、WordPress には安全なパスワードを自動生成する機能が付属しています。 ぜひ活用してみてはいかがでしょうか？

ただし、ホスティングや FTP 資格情報など、Web サイトに関連する他のアカウントに対しても同じことを行う必要があります。 さらに、ログイン試行の制限や 2 要素認証など、ログイン ページを保護する追加の対策もあります。

ホスティングのセキュリティ統計

ホスティング環境とそこに存在するテクノロジー、特に WordPress が実行されている PHP バージョンもセキュリティに影響を与えます。 たとえば、PHP 7 では、以前の PHP 5 よりも優れたセキュリティ機能が導入されました。

さらに、PHP 開発者は、古いバージョンに対して非常に厳格なサポート終了ポリシーを設けています。 この記事の執筆時点では、8.0 より前のバージョンはサポートやセキュリティ修正を受けていないため、長期的には使用しない方がよいでしょう。

ここで、WordPress はそれほど優れているようには見えません。 WordPress Web サイトの大部分は少なくとも PHP 7.0 で動作しており、ほぼ半数は 7.4 で動作していますが、アクティブにサポートされているバージョンを使用しているのは 4 分の 1 強だけです。

何年もサポートされていない PHP 5.x バージョンでまだ実行されているバージョンも約 6% あります。 したがって、まだ更新していない場合は、PHP バージョンを更新してください。

WordPress のセキュリティ統計の概要

100% 安全な CMS はありません。実際、Web に接続されているものはすべて安全です。 しかし、他のところで聞かれるかもしれないことにもかかわらず、WordPress のセキュリティ統計は全体的に非常に良好です。 はい、修正が必要な問題はありますが、そのほとんどは積極的に対処されています。

数値をさらに向上させたい場合は、次のベスト プラクティスに従ってください。

• WordPress とそのプラグイン、テーマを常に最新の状態に保つ
• 信頼できるソースからの拡張機能のみを使用してください
• Web サイトに関連するあらゆるものに強力なパスワードと認証情報を使用します。
• ファイアウォールや CDN の使用を検討してください
• ログイン試行を制限する
• SSL 証明書を使用して、ダッシュボードを含む Web サイト上のトラフィックを暗号化します。
• PHP バージョンを最新に維持できるホストを選択してください

これらに従えば、少なくとも自分の WordPress サイトについては良好なセキュリティ統計が得られるはずです。

WordPress のセキュリティの状態に関する統計で最も興味深いと思うものは何ですか? 以下のコメント欄でお知らせください。